Các hàm trợ giúp cho thuật toán CVSS được định nghĩa như sau: • Tối thiểu trả về nhỏ hơn trong hai đối số của nó.
• Roundup trả về số nhỏ nhất, chỉ định 1 chữ số thập phân, bằng hoặc cao hơn giá trị đầu vào.
Ví dụ: Roundup (3.02) trả về 3.1; và Roundup (3,00) trả về 3.0.
a) Thuật toán tính số liệu Cơ sở
Thuật toán tính Điểm cơ sở phụ thuộc vào các công thức tính Điểm tác động phụ (ISS), Tác động và Khả năng khai thác, được thể hiện như sau:
IF Scope = Unchanged THENImpact = 6.42 × ISS.
IF Scope = Changed THENImpact = 7.52 × (ISS - 0.029) - 3.25 × (ISS - 0.02)15.
Exploitability = 8.22 × AttackVector × AttackComplexity × PrivilegesRequired × UserInteraction
IF Impact <= 0 THENBaseScore = 0 ELSE
{IF Scope = Unchanged THEN BaseScore = Roundup (Minimum [(Impact + Exploitability), 10])
IF Scope = Changed THEN BaseScore = Roundup (Minimum [1.08 × (Impact + Exploitability), 10])}
b) Công thức tính số liệu Tạm thời (Temporal Metrics Equations):
TemporalScore = Roundup (BaseScore × ExploitCodeMaturity × RemediationLevel × ReportConfidence)
c) Thuật toán tính số liệu Môi trường
Thuật toán tính Điểm môi trường phụ thuộc vào các công thức phụ cho Điểm phụ tác động được sửa đổi (MISS), ModifiedImpact và ModifiedExploitability:
MISS = Minimum (1 - [(1 - ConfidentialityRequirement × ModifiedConfidentiality) × (1 - IntegrityRequirement × ModifiedIntegrity) × (1 -
AvailabilityRequirement × ModifiedAvailability)], 0.915)
IF ModifiedScope = Unchanged THENModifiedImpact = 6.42 × MISS
IF ModifiedScope = Changed THENModifiedImpact = 7.52 × (MISS - 0.029) - 3.25 × (MISS × 0.9731 - 0.02)13
ModifiedExploitability = 8.22 × ModifiedAttackVector × ModifiedAttackComplexity × ModifiedPrivilegesRequired × ModifiedUserInteraction.
IF ModifiedImpact <= 0 THENEnvironmentalScore = 0 ELSE
{IF ModifiedScope = Unchanged THENEnvironmentalScore = Roundup (Roundup [Minimum ([ModifiedImpact + ModifiedExploitability], 10)] × ExploitCodeMaturity × RemediationLevel × ReportConfidence)
IF ModifiedScope = Changed THENEnvironmentalScore = Roundup (Roundup [Minimum (1.08 × [ModifiedImpact +
ModifiedExploitability], 10)] × ExploitCodeMaturity × RemediationLevel × ReportConfidence)}
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Mỗi giá trị số liệu có một hằng số liên quan được sử dụng trong các công thức, được định nghĩa như sau:
Số liệu Giá trị Giá trị số
Attack Vector / Modified Attack Vector
Network 0.85
Adjacent 0.62
Local 0.55
Physical 0.2
Attack Complexity / Modified Attack Complexity
Low 0.77
High 0.44
Privileges Required / Modified Privileges Required
None 0.85
Low 0.62 (or 0.68 if Scope / Modified Scope =
Changed) High 0.27 (or 0.5 if Scope /
Modified Scope = Changed) User Interaction / Modified
User Interaction None 0.85 Required 0.62 Confidentiality / Integrity / Availability / Modified Confidentiality / Modified Integrity / Modified Availability High 0.56 Low 0.22 None 0
Exploit Code Maturity Not Defined 1
High 1
Functional 0.97
Proof of Concept 0.94
Remediation Level Not Defined 1
Unavailable 1
Workaround 0.97
Temporary Fix 0.96
Official Fix 0.95
Report Confidence Not Defined 1
Confirmed 1 Reasonable 0.96 Unknown 0.92 Confidentiality Requirement / Integrity Requirement / Availability Requirement Not Defined 1 High 1.5 Medium 1 Low 0.5
Bảng 2.7 - Giá trị các số liệu